Celui qui paie reste vulnérable

Des faits qui en disent long

L’importance économique du thème de la cybersécurité s’exprime sous forme numérique. Cent pour cent des PDG suisses considèrent que la cybercriminalité représente une menace pour leur entreprise. En 2020, 20 544 cyberattaques ont été signalées, dont 16 395 escroqueries en ligne. En moyenne, une entreprise suisse a été confrontée à une attaque par rançongiciel toutes les 11 secondes.

Le préjudice moyen pour une entreprise suisse de moyenne envergure s’élève à environ 6 millions de CHF. Les attaques sévères, avec vol et chiffrement, peuvent coûter de 50 à 150 millions de CHF, en fonction du secteur et de la taille de l’entreprise. Si une telle attaque paralyse complètement le système informatique, il faut généralement 5 à 7 jours à l’entreprise pour redémarrer, au moins sommairement. À supposer que l’on sache faire face à une telle urgence. Le chiffre réel des préjudices est lourd en Suisse – comme dans les autres pays. Les estimations partent du principe que, en 2021, la cybercriminalité a causé, à l’échelle mondiale, 6 milliards d’USD de préjudices, et que ce chiffre augmentera chaque année pour atteindre 10,5 milliards d’USD en 2025.

Il y a peu encore, de nombreuses entreprises pensaient ne pas être la cible des pirates, parce qu’elles étaient trop petites ou ne possédaient rien d’intéressant. Mais, comme le montrent clairement les chiffres, c’est totalement erroné : en 2021, près de 55 000 PME suisses comptant entre 4 et 49 collaborateurs ont été victimes d’une attaque, contre 38 000 en 2020. Un quart des attaques signalées ont entraîné un préjudice financier, 6 % une atteinte à la réputation, 7 % la perte de données clients.

Des formes d’attaque diversifiées

Les formes d’attaque sont aujourd’hui nombreuses et variées. Un programme malveillant (maliciel) constitue généralement l’arme de base des pirates. Il leur permet d’introduire des fonctions indésirables, voire préjudiciables. Le plus souvent, les criminels s’infiltrent dans l’entreprise au moyen d’e-mails d’hameçonnage et amènent leurs victimes à utiliser leur maliciel. Dans un premier temps, les données sont volées. Un logiciel de chantage (rançongiciel) empêche d’accéder aux données et de les utiliser, voire d’accéder à l’ensemble du système informatique, à cause d’un chiffrement et exige le versement d’une rançon. Les attaques par rançongiciel comptent parmi les plus fréquentes ces derniers mois. Elles sont très efficaces car elles s’accompagnent de la menace de publier les données volées et de détruire les systèmes. Les attaques par déni de service distribué (DDoS) à grande échelle sont également fréquentes. Les plateformes et les prestations sont fortement ralenties ou bloquées. Outre les dégâts matériels, ces attaques sont souvent utilisées pour exercer un chantage.

Les vulnérabilités anciennes et nouvelles 

Lorsqu’ils identifient des vulnérabilités, les cybercriminels ont alors une possibilité de s’introduire dans l’entreprise. Le principal point d’entrée est incontestablement l’e-mail et une attaque dirigée vers l’humain. La vulnérabilité causée par les e-mails d’hameçonnage a progressé avec la pandémie et la transformation numérique grandissante des entreprises, induite par le travail à distance et le travail à domicile. Les nouveaux processus, l’isolement des collaborateurs et le recours aux nouvelles technologies ont créé de nouveaux risques. Même les structures informatiques jusque-là existantes peuvent présenter des failles, notamment lorsque des systèmes obsolètes et des applications développées en interne ne sont pas régulièrement mises à jour et sécurisées par des correctifs.

Des cybercriminels devenus experts

Le comportement des cybercriminels a fondamentalement changé ces deux dernières années. Si l’important pour les pirates était auparavant de voler des informations et des données pour les vendre ou de les détourner, leur objectif est aujourd’hui d’empêcher les entreprises d’exercer leurs activités et d’infliger de lourds préjudices en causant des pannes, ou d’en profiter pour extorquer de l’argent à leurs victimes. Les cybercriminels travaillent de manière très efficace, connectée et professionnelle grâce à une forte automatisation. À titre d’exemple, ils savent parfois très précisément quel montant de rançon exiger pour que la victime préfère payer plutôt que de devoir remédier à des failles de sécurité. Ils fixent une rançon d’un montant légèrement inférieur à celui des préjudices attendus.

La Suisse n’est pas un bon élève

La cybersécurité prend sans cesse plus d’importance, non seulement pour les entreprises, mais aussi pour les chefs d’État et de gouvernement. En effet, l’enjeu est aussi de protéger les infrastructures critiques et la place économique. En Suisse, les activités liées à cette thématique ont augmenté, mais, en comparaison internationale, le pays se classe seulement 42e sur les 182 nations considérées. L’engagement de la Suisse en matière de cybersécurité est moindre non seulement par rapport aux pays les mieux classés, les États-Unis, la Grande-Bretagne, l’Arabie saoudite et l’Estonie, mais aussi par rapport à ses voisins français (9e rang), allemand (13e rang), italien (20e rang) et autrichien (29e rang). Des efforts sont actuellement menés pour lutter globalement contre la cybercriminalité. Le Centre national pour la cybersécurité (NCSC) a été créé dans le cadre de la stratégie du Conseil fédéral pour protéger la Suisse des cyberrisques.

Signalez les cyberattaques

La Loi fédérale sur la protection des données (LPD) tout comme le règlement général sur la protection des données européen (RGPD) prévoient actuellement une obligation légale générale de signaler les cyberattaques. Une obligation de signalement est même déjà imposée dans certains secteurs, notamment par l’autorité de surveillance des marchés financiers, la FINMA, dans le domaine financier, ou par la Convention Medicrime dans le domaine médical.

La répression des cybercrimes pose problème en Suisse. Les auteurs sont difficiles à appréhender, parce qu’ils sont souvent établis dans des pays à la jurisprudence lacunaire ou incertaine. Pour qu’un crime puisse faire l'objet de poursuites pénales en vertu du droit suisse, il faut que le préjudice soit vérifiable, ce qui n’est pas toujours le cas, et il est parfois difficile à calculer. L’intensification des signalements permettrait de réduire le chiffre réel des préjudices. Mais il faut aller encore plus loin : Si l’obligation de signaler les cyberattaques est légalement prescrite, il reste encore des points à éclaircir, entre autres : Qui peut ou doit faire un signalement et auprès de qui ? Qu’adviendra-t-il de ces informations ? Seront-elles diffusées ? Un système d’alerte précoce et d’échange d’informations sera-t-il créé ? L’important est que le signalement ait effectivement des retombées. C’est la condition pour que les entreprises puissent apprendre les unes des autres et mieux se préparer contre les attaques.

Agissez maintenant avant qu’il ne soit trop tard

Les entreprises suisses ne peuvent pas se contenter d’ignorer le risque lié à la cybersécurité. Beaucoup de plans de crise visent actuellement à restaurer l’accessibilité des systèmes et des données aussi rapidement que possible, et misent par conséquent sur la disponibilité. Mais si c’est l’ensemble du système qui est touché, cela ne sert à rien. En termes de résilience face aux attaques actuelles, précisément, la plupart des entreprises accusent un important retard. 

La question ne doit jamais être de savoir s’il faut ou non payer une rançon. En effet, les vulnérabilités perdurent et les pirates gardent un pied dans l’infrastructure. Seuls les cybercriminels savent avec certitude si la disponibilité et l’intégrité des données récupérées sont demeurées intactes. Les coûts de traitement de l’environnement informatique, d’amélioration de la protection et de la sécurité doivent être pris en compte en plus du montant de la rançon. Voici cinq recommandations que les responsables et décideurs devraient mettre à l’ordre du jour :

1. Classer les risques et leurs conséquences pour l’entreprise

Dans un premier temps, les principaux risques pour l’entreprise sont définis. Dans un établissement de production, c’est la défaillance de l’unité de production. Dans un cabinet d’avocats, il pourrait s’agir du vol de données clients ou de l’impossibilité d’accéder à des mandats. Dans ce processus, les entreprises devraient noter les interdépendances, les risques et les scénarios de défaillance et les pondérer en conséquence.

2. Comprendre les pirates et leurs méthodes

Il faut maintenant comprendre comment les pirates agissent, quelles failles propres à l’entreprise ou quels thèmes critiques existent ou encore comment les pirates pourraient les utiliser. Une attaque DDoS dirigée contre la Bourse pourrait par exemple causer un préjudice énorme au négoce avec un retard de 0,5 seconde. Au contraire, un établissement de production bien préparé peut renoncer à un ou deux jours de production pour réparer une faille, par exemple, plutôt que de céder à un chantage.

3. Planifier les cyberattaques comme des cas de crise

Les entreprises devraient planifier précisément les cas de crise, du début d’un piratage par un cheval de Troie contenu dans un e-mail, sa propagation dans le système informatique, jusqu’à la crise. Tout au long de la chaîne d’événements, il faut clairement établir qui décide, ce qui doit refonctionner en premier et quelles mesures techniques et structurelles sont nécessaires à cet effet. Les entreprises doivent donc réfléchir de manière ciblée à des scénarios du type « Que se passerait-il si... ? ».

4. Se protéger et prévenir les attaques

Combiner protection et prévention constitue la base de la sécurité et de la capacité à reconnaître les attaques et à y réagir. La résilience résulte alors surtout du fait de savoir réagir en cas d’urgence. Il s’agit notamment de maintenir à jour le système informatique, le dispositif de cybersécurité et le personnel et de s’exercer régulièrement.

5. Communiquer de manière ciblée

La communication est importante dans tous les domaines, de la sensibilisation des collaborateurs aux comportements à adopter avant, pendant et après le cas d’urgence. Mais à ce stade, il faut aussi déterminer qui diffuse des informations sur l’attaque, quand et comment, ou quand s’abstenir.